Log4j Exploit-Updates

Log4j Download-Dashboard

Log4j_Public_2021-12-18T0052 2

Neueste Erkenntnisse

FTC-Warnung infolge von Log4j: Sichern Sie Ihre Software-Supply-Chain

FTC-Warnung infolge von Log4j: Sichern Sie Ihre Software-Supply-Chain

Eine fehlende Reaktion auf Log4shell-Probleme kann zu mehr als nur Ausfallzeiten oder Reputationsschäden führen. US-amerikanische Aufsichtsbehörden erwägen Klagen zur Durchsetzung der Sicherheit.

Log4j – Videovorschau 2

Log4j Exploit Explained - Everything You Need to Know to Protect Yourself

Unternehmen müssen auf Log4j achten – nicht nur bei der Software, die sie produzieren, sondern auch bei der Software, die sie nutzen. Jede in Java geschriebene Software enthält wahrscheinlich irgendwo im Stack Log4j.

image3-3

Kritische Log4j-Schwachstelle wird weiterhin in 40 % aller Fälle heruntergeladen

Die Java- und Apache Software Foundation-Experten von Sonatype geben ein weiteres Update zur Entwicklung der Log4j-Schwachstelle sowie zu den verschiedenen Varianten, die wir verzeichnen, und teilen neue Trends bei Log4j-Downloads. 

Kostenlose Tools, die Ihnen jetzt weiterhelfen

Vulnerability- Scanner-icon-only-White + Color

Nexus Vulnerability Scanner

Erzeugen Sie eine Software Bill of Materials (SBOM) und katalogisieren Sie alle Komponenten in Ihrer Anwendung.

Lift-logo-icon-only-white

Sonatype Lift

Finden und beheben Sie kritische Probleme bezüglich Sicherheit, Leistung, Zuverlässigkeit und Stilistik im Entwicklercode.

OWASP-icon

OSS Index

Erkennen Sie öffentlich bekannt gewordene Sicherheitslücken innerhalb der Abhängigkeiten Ihres Projekts

„Diese neue Log4j-Sicherheitslücke wird wahrscheinlich ein weiteres "Mega"-Ereignis in der Zeitleiste bedeutender Schwachstellen sein. Es ist das am weitesten verbreitete Logging-Framework im Java-Ökosystem.“

—Brian Fox, CTO von Sonatype, in The Daily Swig

Sonatype-Updates

Kritische neue Zero-Day-Schwachstelle in beliebter Log4j-Bibliothek entdeckt

Blog

Kritische neue Zero-Day-Schwachstelle in beliebter Log4j-Bibliothek entdeckt 

Log4Shell-Hilfe für Central-Publisher

ARTIKEL

Log4Shell-Hilfe für Central-Publisher

Unterstützung der Open-Source-Community beim Finden, Fixen und Beseitigen von Problemen mit Log4j

Blog

Unterstützung der Open-Source-Community beim Finden, Fixen und Beseitigen von Problemen mit Log4j

Analyse der Log4j-Sicherheitslücke

Video

Analyse der Log4j-Sicherheitslücke

Alle Log4j- und Logback-Fehler, die wir bisher kennen, und warum Sie Version 2.15 unbedingt loswerden müssen

ARTIKEL

Haben Sie ein Upgrade auf log4j 2.16 vorgenommen? Überraschung: Es gibt eine 2.17 zur Behebung der DoS-Schwachstelle.

Kritische neue Zero-Day-Schwachstelle in beliebter Log4j-Bibliothek betrifft Anwendungen in großem Umfang

Video

Kritische neue Zero-Day-Schwachstelle in beliebter Log4j-Bibliothek betrifft Anwendungen in großem Umfang

Forum zu Log4j in der Sonatype-Community

FORUM

Forum zu Log4j in der Sonatype-Community

Log4j mit Sonatype finden und fixen

Video

Log4j mit Sonatype finden und fixen

Sie haben Fragen zu Log4j? Wenden Sie sich damit an die Sonatype-Community.

Sie haben Fragen zu Log4j? Wenden Sie sich damit an die Sonatype-Community.

Dokumentation und Recherche von Sonatype

CVE-2021-44228 (kritisch):

Ursprüngliche log4j-CVE, mit der alles begann. Wirkt sich nur auf die Versionen 2.x von „org.apache.logging.log4j.log4j-core“ aus: <2.15.0 betroffen.

CVE-2021-4104 (mittelschwer):

Weniger schwerwiegende Variante von CVE-2021-44228, die sich nur auf log4j 1.x auswirkt.Wirkt sich auf alle Versionen von einer gänzlich anderen Gruppe/Artefakt aus: „log4j:log4j“. Betrifft nicht „log4j-core“ (das sind die Versionen 2.x).

CVE-2021-44228 (kritisch):

Ursprüngliche log4j-CVE, mit der alles begann. Wirkt sich nur auf die Versionen 2.x von „org.apache.logging.log4j.log4j-core“ aus: <2.15.0 betroffen.

CVE-2021-4104 (mittelschwer):

Weniger schwerwiegende Variante von CVE-2021-44228, die sich nur auf log4j 1.x auswirkt.Wirkt sich auf alle Versionen von einer gänzlich anderen Gruppe/Artefakt aus: „log4j:log4j“. Betrifft nicht „log4j-core“ (das sind die Versionen 2.x).

CVE-2021-45046 (HOCH):

DoS-Schwachstelle, von der log4j-core-Versionen <=2.15.0 betroffen sind, aber nicht 2.16.0. 

Sonatype-2021-4517 oder auch bekannt als CVE-2021-42550 (mittelschwer):

Ähnlich wie CVE-2021-4104, wirkt sich jedoch auf „logback-classic“ und „logback-core“ aus, da Logback auf log4j 1.x basiert. Die Sonatype-ID basiert auf diesem Thema: https://jira.qos.ch/browse/LOGBACK-1591 

CVE-2021-45046 (HOCH):

DoS-Schwachstelle, von der log4j-core-Versionen <=2.15.0 betroffen sind, aber nicht 2.16.0. 

Sonatype-2021-4517 oder auch bekannt als CVE-2021-42550 (mittelschwer):

Ähnlich wie CVE-2021-4104, wirkt sich jedoch auf „logback-classic“ und „logback-core“ aus, da Logback auf log4j 1.x basiert. Die Sonatype-ID basiert auf diesem Thema: https://jira.qos.ch/browse/LOGBACK-1591 

Sonatype-2021-4560 (hoch):

Betrifft log4j-Versionen 2.x bis einschließlich 2.15.0. Die gefixte Version ist 2.16.0. Die Schwachstelle basiert auf dem Blog von Praetorian. In dieser Nachrichtenmeldung sind weitere Informationen zusammengefasst. Derzeit im Fast-Track-Verfahren, da die vollständige Offenlegung von Apache aussteht. Weitere Einzelheiten werden zu gegebener Zeit bekannt gegeben.

Sonatype-2021-4560 (hoch):

Betrifft log4j-Versionen 2.x bis einschließlich 2.15.0. Die gefixte Version ist 2.16.0. Die Schwachstelle basiert auf dem Blog von Praetorian. In dieser Nachrichtenmeldung sind weitere Informationen zusammengefasst. Derzeit im Fast-Track-Verfahren, da die vollständige Offenlegung von Apache aussteht. Weitere Einzelheiten werden zu gegebener Zeit bekannt gegeben.

„Das ist so, als ob jemand herausfindet, dass er mit einem Brief, den er in Ihren Briefkasten wirft und auf dem eine bestimmte Adresse steht, alle Türen in Ihrem Haus öffnen kann.“

—Brian Fox, CTO von Sonatype, auf BBC

Ressourcen aus dem Umfeld der Software-Community

Die Log4shell-CVE von Mitre
Die Log4j-Seite der Apache Foundation mit Einzelheiten
Die Log4shell-CVE von Mitre
Die Log4j-Seite der Apache Foundation mit Einzelheiten
Vom Netherlands National Cybersecurity Center zusammengestellte Liste der betroffenen Software
Gartner-Artikel für Führungskräfte im Bereich Sicherheit
Vom Netherlands National Cybersecurity Center zusammengestellte Liste der betroffenen Software
Gartner-Artikel für Führungskräfte im Bereich Sicherheit

Bereit, Sonatype auszuprobieren?

Schützen und automatisieren Sie Ihre Software-Supply-Chain.